JP4575190B2 - 監査ログ分析装置及び監査ログ分析方法及び監査ログ分析プログラム - Google Patents
監査ログ分析装置及び監査ログ分析方法及び監査ログ分析プログラム Download PDFInfo
- Publication number
- JP4575190B2 JP4575190B2 JP2005048215A JP2005048215A JP4575190B2 JP 4575190 B2 JP4575190 B2 JP 4575190B2 JP 2005048215 A JP2005048215 A JP 2005048215A JP 2005048215 A JP2005048215 A JP 2005048215A JP 4575190 B2 JP4575190 B2 JP 4575190B2
- Authority
- JP
- Japan
- Prior art keywords
- audit log
- access
- user
- audit
- database
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本発明は、ユーザ(利用者)がコンピュータ資源(例えば、Webコンテンツ、ファイルなど)にアクセスした証跡である監査ログ(アクセスログ)を蓄積し、蓄積された監査ログから不正アクセスを検出するための分析を行うシステムにおいて、監査ログの分析を行う監査ログ分析装置及び監査ログ分析方法及び監査ログ分析プログラムに関するものである。
従来の不正アクセスを検出する方式としては、監査ログを監査ログ分析プログラムにて分析するものと、アクセス監視プログラムによりリアルタイムにアクセスを監視するものがある。前者には、例えば、監査ログに記録された通信経路により不正アクセスを検出するもの(特許文献1)、監査ログに記録されたIPアドレス、接続時間帯、接続パターンにより不正アクセスを検出するもの(特許文献2)、アクセス要求の履歴をもとに不正アクセスを行っているコンピュータを判別し、アクセス制御を行うもの(特許文献3)がある。これらは、過去に行われたアクセスが不正アクセスであるか否かを判断するものである。
現在、Webシステムにおいて、複数のシステムの認証を統合する認証サーバが存在する。認証サーバでは、アクセスするユーザのアクセス制御を実施し、アクセスの記録を監査ログとして蓄積するものが一般的である。
企業内のシステムでは、様々なシステムを様々なユーザが使用するためにきめ細かなアクセス制御が必要となってきており、アクセス制御のルールとして近年では利用者の所属、役職といった組織情報を使用するケースが増加している。
特開2002−82849号公報
特開2002−318734号公報
特開2004−38517号公報
従来の監査ログ分析では、アクセスがどの時点で行われていても、そのアクセスが不正アクセスであるか否かを判断する基準は、分析時に定義されているものが使用されていた。また、従来の認証サーバによるアクセス制御では、リアルタイム性を重視していたため、アクセス制御ルールが粗く、不正アクセスを正確に検出することができなかった。
例えば、アクセス制御ルールにおいて、ユーザAのWebコンテンツXへのアクセスを禁止するように設定していたとする。そして、ある時点でアクセス制御ルールを変更し、ユーザAのWebコンテンツXへのアクセスを許可するように設定したとする。この場合、ユーザAのWebコンテンツXへのアクセスは、そのアクセスがアクセス制御ルールを変更する前で行われたものであれば、不正アクセスである。しかし、従来の監査ログ分析では、分析時のアクセス制御ルールを使用するため、このような不正アクセスを検出することができない。また、従来の認証サーバによるアクセス制御では、ユーザごと、Webコンテンツごとに細かくアクセスの認否を設定することができない。
本発明は、任意の時点でのより正確な不正アクセスの検出を目的とする。
本発明の監査ログ分析装置は、
クライアント端末からのユーザによるコンピュータ資源へのアクセスの履歴を示す監査ログを保管する監査ログデータベースから監査ログを取得し、取得した監査ログを分析する監査ログ分析装置において、
ユーザが所属するグループと当該ユーザの当該グループへの所属期間とを示すユーザ所属情報を保管するユーザ所属情報データベースと、
特定の期間における特定のグループに所属するユーザによる特定のコンピュータ資源へのアクセスの認否を規定するアクセス認否情報を保管するアクセス認否情報データベースと、
前記監査ログデータベースから監査ログを取得し、取得した監査ログに示されたコンピュータ資源へのアクセスを行ったユーザが当該コンピュータ資源へのアクセスを行った時点で所属していたグループを前記ユーザ所属情報データベースに保管されたユーザ所属情報から特定し、特定したグループに所属するユーザに関して前記アクセス認否情報データベースに保管されたアクセス認否情報に基づいて当該コンピュータ資源へのアクセスの認否を判断する監査ログ分析部とを備えることを特徴とする。
クライアント端末からのユーザによるコンピュータ資源へのアクセスの履歴を示す監査ログを保管する監査ログデータベースから監査ログを取得し、取得した監査ログを分析する監査ログ分析装置において、
ユーザが所属するグループと当該ユーザの当該グループへの所属期間とを示すユーザ所属情報を保管するユーザ所属情報データベースと、
特定の期間における特定のグループに所属するユーザによる特定のコンピュータ資源へのアクセスの認否を規定するアクセス認否情報を保管するアクセス認否情報データベースと、
前記監査ログデータベースから監査ログを取得し、取得した監査ログに示されたコンピュータ資源へのアクセスを行ったユーザが当該コンピュータ資源へのアクセスを行った時点で所属していたグループを前記ユーザ所属情報データベースに保管されたユーザ所属情報から特定し、特定したグループに所属するユーザに関して前記アクセス認否情報データベースに保管されたアクセス認否情報に基づいて当該コンピュータ資源へのアクセスの認否を判断する監査ログ分析部とを備えることを特徴とする。
本発明では、監査ログ分析装置が、監査ログに示されたコンピュータ資源へのアクセスを行ったユーザがそのアクセスを行った時点で所属していたグループをユーザ所属情報データベースに保管されたユーザ所属情報から特定し、特定したグループに所属するユーザに関してアクセス認否情報データベースに保管されたアクセス認否情報に基づいてアクセスの認否を判断することにより、任意の時点でのより正確な不正アクセスの検出が可能となる。
以下、本発明の実施の形態について、図を用いて説明する。
図1は、下記実施の形態における監査ログ分析サーバ(監査ログ分析装置)の外観の一例を示す図である。
図1において、監査ログ分析サーバ1は、システムユニット910、CRT(Cathode Ray Tube)表示装置901、キーボード(K/B)902、マウス903、コンパクトディスク装置(CDD)905、プリンタ装置906を備え、これらはケーブルで接続されている。さらに、監査ログ分析サーバ1は、ローカルエリアネットワーク(LAN)942、ゲートウェイ941を介してインターネット940に接続されている。
図2は、下記実施の形態における監査ログ分析装置のハードウェア構成の一例を示す図である。
図2において、監査ログ分析サーバ1は、プログラムを実行するCPU(Central Processing Unit)911を備えている。CPU911は、バス912を介してROM913、RAM914、通信ボード915、CRT表示装置901、K/B902、マウス903、FDD(Flexible Disk Drive)904、磁気ディスク装置920、CDD905、プリンタ装置906と接続されている。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部の一例である。
通信ボード915は、LAN942などに接続されている。
例えば、通信ボード915、K/B902、FDD904などは、入力部の一例である。また、例えば、通信ボード915、CRT表示装置901などは、出力部の一例である。
ここで、通信ボード915は、LAN942に限らず、直接、インターネット940、あるいはISDN(Integrated Services Digital Network)などのWAN(ワイドエリアネットワーク)に接続されていても構わない。直接、インターネット940、あるいはISDNなどのWANに接続されている場合、監査ログ分析サーバ1は、インターネット940、あるいはISDNなどのWANに接続され、ゲートウェイ941は不用となる。
磁気ディスク装置920には、オペレーティングシステム(OS)921、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923は、CPU911、OS921、ウィンドウシステム922により実行される。
上記プログラム群923には、以下に述べる実施の形態の説明において「〜部」として説明する機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
ファイル群924には、以下に述べる実施の形態の説明において、「〜の判定結果」、「〜の計算結果」、「〜の処理結果」として説明するものが、「〜ファイル」として記憶されている。また、ファイル郡924の一部は、以下に述べる実施の形態の説明において、「〜DB(データベース)」として説明するデータベースを構成する。
また、以下に述べる実施の形態の説明において説明するフローチャートの矢印の部分は主としてデータの入出力を示し、そのデータの入出力のためにデータは、磁気ディスク装置920、FD(Flexible Disk)、光ディスク、CD(コンパクトディスク)、MD(ミニディスク)、DVD(Digital Versatile Disk)などのその他の記録媒体に記録される。あるいは、信号線やその他の伝送媒体により伝送される。
また、以下に述べる実施の形態の説明において「〜部」として説明するものは、ROM913に記憶されたファームウェアで実現されていても構わない。あるいは、ソフトウェアのみ、あるいは、ハードウェアのみ、あるいは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。
また、以下に述べる実施の形態を実施するプログラムは、磁気ディスク装置920、FD(Flexible Disk)、光ディスク、CD(コンパクトディスク)、MD(ミニディスク)、DVD(Digital Versatile Disk)などのその他の記録媒体による記録装置を用いて記憶されても構わない。
実施の形態1.
図3は、本実施の形態に係る監視ログ分析システムの構成を示すブロック図である。
図3は、本実施の形態に係る監視ログ分析システムの構成を示すブロック図である。
本実施の形態に係る監視ログ分析システムは、監査ログ分析プログラム(監査ログ分析部)2、人事異動履歴DB(ユーザ所属情報データベース)3、監査ログ分析用アクセス制御ルールDB(アクセス認否情報データベース)4、入力部14、出力部15を内部に持つ監査ログ分析サーバ1、ユーザがクライアント端末6から認証サーバ7経由でAPP(アプリケーション)サーバ8にアクセスしたログ(監査ログ)を記録する監査ログDB(監査ログデータベース)5からなる。システム管理者やその他の監査を行う者は、図4に示すような監査ログ分析画面9から、監査ログ分析サーバ1の入力部14を介して、監査ログの分析の対象とする期間を入力し、監査ログの分析依頼を送信する。監査ログ分析サーバ1の監査ログ分析プログラム2は監査ログの分析を行い、不正アクセスを検出し、出力部15がその結果を画面上に表示する。以下では、監査ログ分析画面9及びその他の画面は、監査ログ分析サーバ1に備えられた表示装置(例えば、CRT)が出力するものとして説明するが、監査ログ分析サーバ1にネットワークを介して接続された他の端末装置に備えられた表示装置などが出力してもよい。
図3の人事異動履歴DB3は、人事異動履歴情報(ユーザ所属情報)を格納する人事異動履歴テーブルを管理する。
図5は、本実施の形態における人事異動履歴テーブルの一例を示す図である。
人事異動履歴テーブルは、人事異動履歴情報として、期間(所属期間)及びユーザID(UID)をキーとし、ユーザが所属する部署などを特定する組織コード、ユーザの役職などを示す役職コードといった詳細データを保持する。人事異動履歴テーブルは、人事異動の度に対象ユーザに関して更新される。このとき、現在のデータにおいてその期間の終わりが人事異動日に変更され、さらに、新しいデータが追加され、新しいデータの期間の始まりがその人事異動日に設定される。
図3の監査ログ分析用アクセス制御ルールDB4は、アクセス認否情報を格納するアクセス制御ルールテーブルを管理する。
図6は、本実施の形態におけるアクセス制御ルールテーブルの一例を示す図である。
アクセス制御ルールテーブルは、アクセス認否情報として、期間及びACL(アクセス制御リスト)名をキーとし、組織コード、役職コード、コンテンツ(コンピュータ資源の一例)といったアクセス制御ルールの詳細データを保持する。ACL名はアクセス制御ルールの各詳細データの組み合わせを示すので、アクセス制御ルールテーブルでアクセス制御ルールの詳細データを省略し、別にアクセス制御ルールを定義するテーブルを設けてもよい。本実施の形態では、コンテンツを特にWebコンテンツであるとして、そのURL(Uniform Resource Locator)の一部(図6では、フォルダ又はディレクトリを指定するURL)を記述している。アクセス制御ルールテーブルには、予め期間とアクセスの対象となるコンテンツに対するアクセス制御ルールが登録されている。
図3の監査ログDB5は、監査ログを格納する監査ログテーブルを管理する。
図7は、本実施の形態における監査ログテーブルの一例を示す図である。
監査ログテーブルは、監査ログとして、アクセスの日時及びUIDをキーとし、コンテンツを特定するアクセスURLを保持する。監査ログテーブルには、クライアント端末6が認証サーバ7経由でAPPサーバ8にアクセスした履歴のデータが随時追加される。
図8は、本実施の形態に係る監査ログ分析サーバの動作を示すフロー図である。
システム管理者などが入力部14を介して監査ログ分析画面9に監査する期間を入力し(以下、入力された期間の情報を監査対象期間という)、監査対象期間を送信すると、監査ログ分析プログラム2は監査対象期間を受信する(ステップS11)。監査対象期間を受信した監査ログ分析プログラム2は、以下のように該当期間の監査ログを監査ログDB5内の監査ログテーブルから古い順に一行ずつ読み込み、不正アクセスの検出を行う(ステップS12〜17)。
監査ログ分析プログラム2は監査ログテーブルから監査ログを一行(一行又は一レコードには一つの監査ログを含まれている)読み込む(ステップS12)。読み込んだ監査ログの日時とUIDから該当する人事異動履歴情報を人事異動履歴テーブルから取得する(ステップS13)。ここで、この人事異動履歴情報をAとする。また、読み込んだ監査ログの日時とアクセスURLから該当するアクセス制御ルールをアクセス制御ルールテーブルから取得する(ステップS14)。ここで、このアクセス制御ルールをBとする。そして、Aの人事異動履歴情報がBのアクセス制御ルールに含まれるか否かを検査(比較)する(ステップS15)。監査ログ分析プログラム2は、AがBに含まれない場合には、読み込んだ監査ログに示されたアクセスが不正アクセスであると判断し、不正アクセスリストに該当監査ログを追加する(ステップS16)。そして、監査対象の監査ログのうち検査済みでないものがあるかどうかを確認する(ステップS17)。また、ステップS15において、AがBに含まれる場合にも、読み込んだ監査ログに示されたアクセスが不正アクセスではないと判断し、ステップS17の処理を行う。監査対象の監査ログのうち検査済みでないものがあれば、全ての監査ログについて検査が終わるまでステップS12〜17の処理を繰り返す。
最後に、出力部15は、監査ログ分析プログラム2が作成した不正アクセスリストを画面に出力する(ステップS18)。
本実施の形態では、ユーザ所属情報として人事異動履歴情報を用い、ユーザを部署ごと又は役職ごとに分類しているが、他の属性(例えば、性別、年齢、住所など)ごとに分類していてもよい。
以上のように、本実施の形態では、監査ログ分析サーバ1が、監査ログに示されたURLへのアクセスを行ったユーザがそのアクセスを行った時点で所属していた部署やその時点での役職を人事異動履歴DB3に保管された人事異動履歴情報から特定し、特定した部署や役職のユーザに関して監査ログ分析用アクセス制御ルールDB4に保管されたアクセス認否情報に基づいてアクセスの認否を判断することにより、任意の時点で不正アクセスの検出を正確に行うことができる。
また、本実施の形態では、システム管理者などに入力部14を介して監査対象期間を設定させることにより、監査ログ分析サーバ1が全ての監査ログを分析するのではなく必要な監査ログのみを分析することができ、処理の効率化や処理時間の短縮が可能となる。
また、本実施の形態では、出力部15が監査ログ分析プログラム2の検出した不正アクセスの一覧を画面に出力することにより、システム管理者などが不正アクセスの有無や不正アクセスに関する情報を確認することができる。
また、本実施の形態では、アクセスの対象となるコンテンツを特定するURLの一部をアクセス制御ルールごとに細かく指定することにより、監査ログ分析サーバ1が不正アクセスをより正確に検出することが可能となる。
本実施の形態で説明した監査ログ分析方式は、
監査ログ分析サーバにおいて、期間及びコンテンツに対するアクセス制御ルールを管理するためのアクセス制御ルールデータベースと、アクセス制御情報の記述に使用する人事情報の履歴情報を管理するための人事異動履歴データベースを備え、ユーザのWebシステムへのアクセス記録に対して、上記アクセス制御ルールと人事異動履歴を使用して、任意の時点における不正アクセスを検出することを特徴とする。
監査ログ分析サーバにおいて、期間及びコンテンツに対するアクセス制御ルールを管理するためのアクセス制御ルールデータベースと、アクセス制御情報の記述に使用する人事情報の履歴情報を管理するための人事異動履歴データベースを備え、ユーザのWebシステムへのアクセス記録に対して、上記アクセス制御ルールと人事異動履歴を使用して、任意の時点における不正アクセスを検出することを特徴とする。
本実施の形態で説明した監査ログ分析システムは、
期間及びコンテンツに対するアクセス制御ルールを管理するためのアクセス制御ルールデータベースと、アクセス制御情報の記述に使用する人事情報の履歴情報を管理するための人事異動履歴データベースを備え、ユーザのWebシステムへのアクセス記録に対して、上記アクセス制御ルールと人事異動履歴を使用して、任意の時点における不正アクセスを検出する監査ログ分析サーバと、監査ログ分析サーバに監査期間を送信するための監査ログ分析画面と、分析対象である監査ログとで構成されることを特徴とする。
期間及びコンテンツに対するアクセス制御ルールを管理するためのアクセス制御ルールデータベースと、アクセス制御情報の記述に使用する人事情報の履歴情報を管理するための人事異動履歴データベースを備え、ユーザのWebシステムへのアクセス記録に対して、上記アクセス制御ルールと人事異動履歴を使用して、任意の時点における不正アクセスを検出する監査ログ分析サーバと、監査ログ分析サーバに監査期間を送信するための監査ログ分析画面と、分析対象である監査ログとで構成されることを特徴とする。
実施の形態2.
実施の形態1では、蓄積場所が単一である監査ログに対して監査ログ分析を行っているが、本実施の形態では、蓄積場所が複数ある監査ログに対して監査ログ分析を行う。
実施の形態1では、蓄積場所が単一である監査ログに対して監査ログ分析を行っているが、本実施の形態では、蓄積場所が複数ある監査ログに対して監査ログ分析を行う。
図9は、本実施の形態に係る監査ログ分析システムの構成を示すブロック図である。図3に示した実施の形態1との差異について説明する。
本実施の形態に係る監視ログ分析システムは、複数の認証サーバ7を有し、さらに認証サーバ7ごとに監査ログDB5を有する。監査ログDB5は、ユーザがクライアント端末6から負荷分散装置12により選択された認証サーバ7経由でAPPサーバ8にアクセスしたログ(監査ログ)を記録する。監査ログ分析サーバ1は、図1で示した構成に加え、複数の監査ログDB5から監査ログを収集し、収集した監査ログを一つの統合監査ログに統合する監査ログ収集プログラム(監査ログ収集部)10と、統合監査ログを蓄積する統合監査ログDB(統合ログデータベース)11を備える。
本実施の形態において、負荷分散装置12は、通信機能を備える複数の装置を接続するものであれば、ルータやスイッチなど、他の装置に置き換えてもよい。
図9の人事異動履歴DB3は、実施の形態1で説明した図5のような人事異動履歴情報を格納する人事異動履歴テーブルを管理する。
図9の監査ログ分析用アクセス制御ルールDB4は、実施の形態1と同様に、アクセス認否情報を格納するアクセス制御ルールテーブルを管理する。本実施の形態では、図10に示すように、コンテンツのURLが、そのコンテンツへのアクセスを認証した認証サーバ7の名前(例えば、「svrW」)を含む。ただし、本実施の形態において、実施の形態1で説明した図6のようなアクセス制御ルールテーブルを用いてもよい。
図9の統合監査ログDB11は、統合監査ログを格納する統合監査ログテーブルを管理する。統合監査ログテーブルは、統合監査ログを格納するということ以外は、実施の形態1の監査ログDBと同様である。本実施の形態では、図11に示すように、アクセスURLが、そのアクセスを認証した認証サーバ7の名前(例えば、「svrW」)を含むものとする。ただし、本実施の形態において、実施の形態1で説明した図7のような統合監査ログテーブルを用いてもよい。
図12は、本実施の形態に係る監査ログ分析サーバの動作を示すフロー図である。
システム管理者などが入力部14を介して監査ログ分析画面9に監査する期間を入力し、監査対象期間を送信すると、監査ログ分析プログラム2は監査対象期間を受信する(ステップS21)。監査対象期間を受信した監査ログ分析プログラム2は、該当期間の監査ログを収集するように、監査ログ収集プログラム10に命令を送信する。監査ログ収集プログラム10は、対象となる複数の監査ログDB5から監査対象期間の監査ログを収集し(ステップS22)、収集した監査ログを日時でソートし、統合監査ログとして統合監査ログテーブルに保管する(ステップS23)。
以降は実施の形態1で説明した図8のステップS12〜17と同様に、該当期間の統合監査ログを統合監査ログDB11内の統合監査ログテーブルから古い順に一行ずつ読み込み、不正アクセスの検出を行う(ステップS24〜29)。
最後に、出力部15は、監査ログ分析プログラム2が作成した不正アクセスリストを画面に出力する(ステップS30)。
以上のように、本実施の形態では、監査ログ分析サーバ1が、複数の監査ログDB5から監査ログを収集し、収集した監査ログを統合し、統合した監査ログを統合監査ログDB11に保管することにより、分散された監査ログについても一括して分析し、不正アクセスの検出を正確に行うことができる。
本実施の形態で説明した監査ログ分析方式は、
監査ログ分析サーバにおいて、期間及びコンテンツに対するアクセス制御ルールを管理するためのアクセス制御ルールデータベースと、アクセス制御情報の記述に使用する人事情報の履歴情報を管理するための人事異動履歴データベースと、複数の監査ログを収集し統合する監査ログ収集プログラムと、統合した監査ログを管理する統合監査ログデータベースを備え、複数サーバにおけるユーザのWebシステムへのアクセス記録に対して、上記アクセス制御ルールと人事異動履歴を使用して、任意の時点における不正アクセスを検出することを特徴とする。
監査ログ分析サーバにおいて、期間及びコンテンツに対するアクセス制御ルールを管理するためのアクセス制御ルールデータベースと、アクセス制御情報の記述に使用する人事情報の履歴情報を管理するための人事異動履歴データベースと、複数の監査ログを収集し統合する監査ログ収集プログラムと、統合した監査ログを管理する統合監査ログデータベースを備え、複数サーバにおけるユーザのWebシステムへのアクセス記録に対して、上記アクセス制御ルールと人事異動履歴を使用して、任意の時点における不正アクセスを検出することを特徴とする。
本実施の形態で説明した監査ログ分析システムは、
期間及びコンテンツに対するアクセス制御ルールを管理するためのアクセス制御ルールデータベースと、アクセス制御情報の記述に使用する人事情報の履歴情報を管理するための人事異動履歴データベースと、複数の監査ログを収集し統合する監査ログ収集プログラムと、統合した監査ログを管理する統合監査ログデータベースを備え、複数のサーバにおけるユーザのWebシステムへのアクセス記録に対して、上記アクセス制御ルールと人事異動履歴を使用して、任意の時点における不正アクセスを検出する監査ログ分析サーバと、監査ログ分析サーバに監査期間を送信するための監査ログ分析画面と、分析対象である複数サーバの監査ログとで構成されることを特徴とする。
期間及びコンテンツに対するアクセス制御ルールを管理するためのアクセス制御ルールデータベースと、アクセス制御情報の記述に使用する人事情報の履歴情報を管理するための人事異動履歴データベースと、複数の監査ログを収集し統合する監査ログ収集プログラムと、統合した監査ログを管理する統合監査ログデータベースを備え、複数のサーバにおけるユーザのWebシステムへのアクセス記録に対して、上記アクセス制御ルールと人事異動履歴を使用して、任意の時点における不正アクセスを検出する監査ログ分析サーバと、監査ログ分析サーバに監査期間を送信するための監査ログ分析画面と、分析対象である複数サーバの監査ログとで構成されることを特徴とする。
実施の形態3.
実施の形態1及び2では、Webシステムへのアクセスの履歴が記録された監査ログの分析を行っているが、本実施の形態では、ファイルサーバへのアクセスの履歴が記録された監査ログの分析を行う。
実施の形態1及び2では、Webシステムへのアクセスの履歴が記録された監査ログの分析を行っているが、本実施の形態では、ファイルサーバへのアクセスの履歴が記録された監査ログの分析を行う。
図13は、本実施の形態に係る監査ログ分析システムの構成を示すブロック図である。図3に示した実施の形態1との差異について説明する。
本実施の形態に係る監視ログ分析システムにおいて、監査ログDB5は、ユーザがクライアント端末6からファイルサーバ13にアクセスしたログ(監査ログ)を記録する。
図13の人事異動履歴DB3は、実施の形態1で説明した図5のような人事異動履歴情報を格納する人事異動履歴テーブルを管理する。
図13の監査ログ分析用アクセス制御ルールDB4は、実施の形態1と同様に、アクセス認否情報を格納するアクセス制御ルールテーブルを管理する。本実施の形態では、コンテンツを特にファイルサーバ13内のコンテンツであるとして、図14に示すように、そのファイルパスの一部(図14では、フォルダパス又はディレクトリパス)を記述している。
図13の監査ログDB5は、実施の形態1と同様に、監査ログを格納する監査ログテーブルを管理する。
図15は、本実施の形態における監査ログテーブルの一例を示す図である。
監査ログテーブルは、監査ログとして、アクセスの日時及びUIDをキーとし、コンテンツを特定するアクセスファイル(アクセスされたファイルのファイルパス)を保持する。監査ログテーブルには、クライアント端末6がファイルサーバ13にアクセスした履歴のデータが随時追加される。
本実施の形態に係る監査ログ分析サーバの動作は、URLの代わりにファイルパスによりコンテンツを特定するということ以外は、図8に示した実施の形態1と同様である。
以上のように、本実施の形態では、Web形式からファイルサーバ13の形式に監査ログの形式が変わっても、アクセス制御ルールの形式を合わせることにより、Web形式の監査ログ分析方式と同様の方式で監査ログ分析を行うことが可能であり、ファイルサーバ13へのアクセス履歴を記録した監査ログ分析も正確に行うことが可能である。
本実施の形態で説明した監査ログ分析方式は、
監査ログ分析サーバにおいて、期間及びコンテンツに対するアクセス制御ルールを管理するためのアクセス制御ルールデータベースと、アクセス制御情報の記述に使用する人事情報の履歴情報を管理するための人事異動履歴データベースを備え、ユーザのファイルサーバへのアクセス記録に対して、上記アクセス制御ルールと人事異動履歴を使用して、任意の時点における不正アクセスを検出することを特徴とする。
監査ログ分析サーバにおいて、期間及びコンテンツに対するアクセス制御ルールを管理するためのアクセス制御ルールデータベースと、アクセス制御情報の記述に使用する人事情報の履歴情報を管理するための人事異動履歴データベースを備え、ユーザのファイルサーバへのアクセス記録に対して、上記アクセス制御ルールと人事異動履歴を使用して、任意の時点における不正アクセスを検出することを特徴とする。
本実施の形態で説明した監査ログ分析システムは、
期間及びコンテンツに対するアクセス制御ルールを管理するためのアクセス制御ルールデータベースと、アクセス制御情報の記述に使用する人事情報の履歴情報を管理するための人事異動履歴データベースを備え、ユーザのファイルサーバへのアクセス記録に対して、上記アクセス制御ルールと人事異動履歴を使用して、任意の時点における不正アクセスを検出する監査ログ分析サーバと、監査ログ分析サーバに監査期間を送信するための監査ログ分析画面と、分析対象である監査ログとで構成されることを特徴とする。
期間及びコンテンツに対するアクセス制御ルールを管理するためのアクセス制御ルールデータベースと、アクセス制御情報の記述に使用する人事情報の履歴情報を管理するための人事異動履歴データベースを備え、ユーザのファイルサーバへのアクセス記録に対して、上記アクセス制御ルールと人事異動履歴を使用して、任意の時点における不正アクセスを検出する監査ログ分析サーバと、監査ログ分析サーバに監査期間を送信するための監査ログ分析画面と、分析対象である監査ログとで構成されることを特徴とする。
実施の形態4.
実施の形態3では、蓄積場所が単一である監査ログに対して監査ログ分析を行っているが、本実施の形態では、実施の形態2と同様に、蓄積場所が複数ある監査ログに対して監査ログ分析を行う。
実施の形態3では、蓄積場所が単一である監査ログに対して監査ログ分析を行っているが、本実施の形態では、実施の形態2と同様に、蓄積場所が複数ある監査ログに対して監査ログ分析を行う。
図16は、本実施の形態に係る監査ログ分析システムの構成を示すブロック図である。図9に示した実施の形態2との差異について説明する。
本実施の形態に係る監視ログ分析システムにおいて、それぞれの監査ログDB5は、ユーザがクライアント端末6から複数のファイルサーバ13のうちいずれかにアクセスしたログ(監査ログ)を記録する。
図16の人事異動履歴DB3は、実施の形態1で説明した図5のような人事異動履歴情報を格納する人事異動履歴テーブルを管理する。
図16の監査ログ分析用アクセス制御ルールDB4は、実施の形態2と同様に、アクセス認否情報を格納するアクセス制御ルールテーブルを管理する。本実施の形態では、コンテンツを特にファイルサーバ13内のコンテンツであるとして、図17に示すように、そのファイルパスの一部(図17では、フォルダパス又はディレクトリパス)を記述している。また、コンテンツのファイルパスが、そのコンテンツを保持するファイルサーバ13の名前(例えば、「svrA」)を含む。
図16の統合監査ログDB11は、実施の形態2と同様に、統合監査ログを格納する統合監査ログテーブルを管理する。
図18は、本実施の形態における統合監査ログテーブルの一例を示す図である。
統合監査ログテーブルは、統合監査ログとして、アクセスの日時及びUIDをキーとし、コンテンツを特定するアクセスファイル(アクセスされたファイルのファイルパス)を保持する。監査ログテーブルには、クライアント端末6がファイルサーバ13にアクセスした履歴のデータが随時追加される。本実施の形態では、アクセスファイルが、そのファイルを保持するファイルサーバ13の名前(例えば、「svrA」)を含む。
本実施の形態に係る監査ログ分析サーバの動作は、URLの代わりにファイルパスによりコンテンツを特定するということ以外は、図12に示した実施の形態2と同様である。
以上のように、本実施の形態では、Web形式からファイルサーバ13の形式に監査ログの形式が変わっても、アクセス制御ルールの形式を合わせることにより、Web形式の監査ログ分析方式と同様の方式で監査ログ分析を行うことが可能であり、さらに監査ログが分散管理されていても、監査ログ分析サーバ1が、複数の監査ログDB5から監査ログを収集し、収集した監査ログを統合し、統合した監査ログを統合監査ログDB11に保管することにより、ファイルサーバ13へのアクセス履歴を記録した監査ログ分析も正確に行うことが可能である。
本実施の形態で説明した監査ログ分析方式は、
監査ログ分析サーバにおいて、期間及びコンテンツに対するアクセス制御ルールを管理するためのアクセス制御ルールデータベースと、アクセス制御情報の記述に使用する人事情報の履歴情報を管理するための人事異動履歴データベースと、複数の監査ログを収集し統合する監査ログ収集プログラムと、統合した監査ログを管理する統合監査ログデータベースを備え、複数サーバにおけるユーザのファイルサーバへのアクセス記録に対して、上記アクセス制御ルールと人事異動履歴を使用して、任意の時点における不正アクセスを検出することを特徴とする。
監査ログ分析サーバにおいて、期間及びコンテンツに対するアクセス制御ルールを管理するためのアクセス制御ルールデータベースと、アクセス制御情報の記述に使用する人事情報の履歴情報を管理するための人事異動履歴データベースと、複数の監査ログを収集し統合する監査ログ収集プログラムと、統合した監査ログを管理する統合監査ログデータベースを備え、複数サーバにおけるユーザのファイルサーバへのアクセス記録に対して、上記アクセス制御ルールと人事異動履歴を使用して、任意の時点における不正アクセスを検出することを特徴とする。
本実施の形態で説明した監査ログ分析システムは、
期間及びコンテンツに対するアクセス制御ルールを管理するためのアクセス制御ルールデータベースと、アクセス制御情報の記述に使用する人事情報の履歴情報を管理するための人事異動履歴データベースと、複数の監査ログを収集し統合する監査ログ収集プログラムと、統合した監査ログを管理する統合監査ログデータベースを備え、複数のサーバにおけるユーザのファイルサーバへのアクセス記録に対して、上記アクセス制御ルールと人事異動履歴を使用して、任意の時点における不正アクセスを検出する監査ログ分析サーバと、監査ログ分析サーバに監査期間を送信するための監査ログ分析画面と、分析対象である複数サーバの監査ログとで構成されることを特徴とする。
期間及びコンテンツに対するアクセス制御ルールを管理するためのアクセス制御ルールデータベースと、アクセス制御情報の記述に使用する人事情報の履歴情報を管理するための人事異動履歴データベースと、複数の監査ログを収集し統合する監査ログ収集プログラムと、統合した監査ログを管理する統合監査ログデータベースを備え、複数のサーバにおけるユーザのファイルサーバへのアクセス記録に対して、上記アクセス制御ルールと人事異動履歴を使用して、任意の時点における不正アクセスを検出する監査ログ分析サーバと、監査ログ分析サーバに監査期間を送信するための監査ログ分析画面と、分析対象である複数サーバの監査ログとで構成されることを特徴とする。
実施の形態5.
実施の形態1から4まででは、単一種類の監査ログを分析しているが、本実施の形態では、複数の種類の監査ログを分析する。
実施の形態1から4まででは、単一種類の監査ログを分析しているが、本実施の形態では、複数の種類の監査ログを分析する。
図19は、本実施の形態に係る監査ログ分析システムの構成を示すブロック図である。図9に示した実施の形態2との差異について説明する。
本実施の形態に係る監視ログ分析システムにおいて、それぞれの監査ログDB5は、ユーザがクライアント端末6から認証サーバ7経由でAPPサーバ8にアクセスしたログ(監査ログ)、又はユーザがクライアント端末6からファイルサーバ13にアクセスしたログ(同じく、監査ログ)のいずれかを記録する。図19では、監査ログDB5aが前者の監査ログを、監査ログDB5bが後者の監査ログを記録している。
図19の人事異動履歴DB3は、実施の形態1で説明した図5のような人事異動履歴情報を格納する人事異動履歴テーブルを管理する。
図19の監査ログ分析用アクセス制御ルールDB4は、アクセス認否情報を格納するアクセス制御ルールテーブルを管理する。
図20は、本実施の形態におけるアクセス制御ルールテーブルの一例を示す図である。
アクセス制御ルールテーブルは、アクセス認否情報として、期間及びACL名をキーとし、組織コード、役職コード、コンテンツといったアクセス制御ルールの詳細データ、コンテンツの種別を示すデータを保持する。本実施の形態では、コンテンツの種別は、「Web」又は「ファイルサーバ」である。種別が「Web」の場合、アクセス制御ルールのコンテンツ欄には、コンテンツのURLの一部(図20では、フォルダ又はディレクトリを指定するURL)が記述されている。種別が「ファイルサーバ」の場合、アクセス制御ルールのコンテンツ欄には、コンテンツのファイルパスの一部(図20では、フォルダパス又はディレクトリパス)が記述されている。アクセス制御ルールテーブルには、予め期間とアクセスの対象となるコンテンツに対するアクセス制御ルールが登録されている。
図19の統合監査ログDB11は、統合監査ログを格納する統合監査ログテーブルを管理する。
図21は、本実施の形態における統合監査ログテーブルの一例を示す図である。
統合監査ログテーブルは、統合監査ログとして、アクセスの日時及びUIDをキーとし、コンテンツを特定するアクセスURL/アクセスファイル、ログ種別を示すデータを保持する。本実施の形態では、ログ種別は、「Web」又は「ファイルサーバ」である。ログ種別が「Web」の場合、その行(監査ログ)はユーザがクライアント端末6から認証サーバ7経由でAPPサーバ8にアクセスしたログであり、アクセスURL/アクセスファイル欄には、アクセスURLが記録されている。種別が「ファイルサーバ」の場合、その行はユーザがクライアント端末6からファイルサーバ13にアクセスしたログであり、アクセスURL/アクセスファイル欄には、アクセスされたファイルのファイルパスが記録されている。
図22は、本実施の形態に係る監査ログ分析サーバの動作を示すフロー図である。
システム管理者などが入力部14を介して監査ログ分析画面9に監査する期間を入力し、監査対象期間を送信すると、監査ログ分析プログラム2は監査対象期間を受信する(ステップS31)。監査対象期間を受信した監査ログ分析プログラム2は、該当期間の監査ログを収集するように、監査ログ収集プログラム10に命令を送信する。監査ログ収集プログラム10は、対象となる複数の監査ログDB5から監査対象期間の監査ログを収集し(ステップS32)、収集した監査ログを日時でソートし、ログ種別を追加し、統合監査ログとして統合監査ログテーブルに保管する(ステップS33)。続いて、監査ログ分析プログラム2は、以下のように該当期間の統合監査ログを統合監査ログDB11内の統合監査ログテーブルから古い順に一行ずつ読み込み、不正アクセスの検出を行う(ステップS34〜39)。
監査ログ分析プログラム2は統合監査ログテーブルから監査ログを一行読み込む(ステップS34)。読み込んだ監査ログの日時とUIDから該当する人事異動履歴情報を人事異動履歴テーブルから取得する(ステップS35)。ここで、この人事異動履歴情報をAとする。また、読み込んだ監査ログの日時とログ種別に応じてアクセスURL又はアクセスファイルから該当するアクセス制御ルールをアクセス制御ルールテーブルから取得する(ステップS36)。ここで、このアクセス制御ルールをBとする。そして、Aの人事異動履歴情報がBのアクセス制御ルールに含まれるか否かを検査(比較)する(ステップS37)。監査ログ分析プログラム2は、AがBに含まれない場合には、読み込んだ監査ログに示されたアクセスが不正アクセスであると判断し、不正アクセスリストに該当監査ログを追加する(ステップS38)。そして、監査対象の監査ログのうち検査済みでないものがあるかどうかを確認する(ステップS39)。また、ステップS37において、AがBに含まれる場合にも、読み込んだ監査ログに示されたアクセスが不正アクセスではないと判断し、ステップS39の処理を行う。監査対象の監査ログのうち検査済みでないものがあれば、全ての監査ログについて検査が終わるまでステップS34〜39の処理を繰り返す。
最後に、出力部15は、監査ログ分析プログラム2が作成した不正アクセスリストを画面に出力する(ステップS40)。
本実施の形態では、アクセス制御ルールにおいて具体的にコンテンツを指定せず、ログ種別ごとにアクセスの認可を規定してもよい。この場合、図20に示したアクセス制御ルールテーブルにおいて、種別欄をアクセス制御ルールのデータとして扱い、コンテンツ欄を削除してもよい。
以上のように、本実施の形態では、監査ログ分析サーバ1が、複数の監査ログDB5から種別の異なるコンテンツへのアクセスの履歴を示す監査ログを収集し、それぞれのアクセスの履歴に当該アクセスが行われたコンテンツの種別を示す情報を付加して、収集した監査ログを統合し、統合した監査ログを統合監査ログDB11に保管することにより、異なる種別の監査ログについても一括して分析し、不正アクセスの検出を正確に行うことができる。
本実施の形態で説明した監査ログ分析方式は、
監査ログ分析サーバにおいて、期間及びコンテンツに対するアクセス制御ルールを管理するためのアクセス制御ルールデータベースと、アクセス制御情報の記述に使用する人事情報の履歴情報を管理するための人事異動履歴データベースと、複数の異なる形式の監査ログを収集し、形式を統合する監査ログ収集プログラムと、統合した監査ログを管理する統合監査ログデータベースを備え、ユーザの複数種類のサーバ及びシステムへのアクセス記録に対して、上記アクセス制御ルールと人事異動履歴を使用して、任意の時点における不正アクセスを検出することを特徴とする。
監査ログ分析サーバにおいて、期間及びコンテンツに対するアクセス制御ルールを管理するためのアクセス制御ルールデータベースと、アクセス制御情報の記述に使用する人事情報の履歴情報を管理するための人事異動履歴データベースと、複数の異なる形式の監査ログを収集し、形式を統合する監査ログ収集プログラムと、統合した監査ログを管理する統合監査ログデータベースを備え、ユーザの複数種類のサーバ及びシステムへのアクセス記録に対して、上記アクセス制御ルールと人事異動履歴を使用して、任意の時点における不正アクセスを検出することを特徴とする。
本実施の形態で説明した監査ログ分析システムは、
期間及びコンテンツに対するアクセス制御ルールを管理するためのアクセス制御ルールデータベースと、アクセス制御情報の記述に使用する人事情報の履歴情報を管理するための人事異動履歴データベースと、複数の異なる形式の監査ログを収集し、形式を統合する監査ログ収集プログラムと、統合した監査ログを管理する統合監査ログデータベースを備え、ユーザの複数種類のサーバ及びシステムへのアクセス記録に対して、上記アクセス制御ルールと人事異動履歴を使用して、任意の時点における不正アクセスを検出する監査ログ分析サーバと、監査ログ分析サーバに監査期間を送信するための監査ログ分析画面と、分析対象である複数種類の監査ログとで構成されることを特徴とする。
期間及びコンテンツに対するアクセス制御ルールを管理するためのアクセス制御ルールデータベースと、アクセス制御情報の記述に使用する人事情報の履歴情報を管理するための人事異動履歴データベースと、複数の異なる形式の監査ログを収集し、形式を統合する監査ログ収集プログラムと、統合した監査ログを管理する統合監査ログデータベースを備え、ユーザの複数種類のサーバ及びシステムへのアクセス記録に対して、上記アクセス制御ルールと人事異動履歴を使用して、任意の時点における不正アクセスを検出する監査ログ分析サーバと、監査ログ分析サーバに監査期間を送信するための監査ログ分析画面と、分析対象である複数種類の監査ログとで構成されることを特徴とする。
上記の各実施の形態では、監査ログをWebシステム又はファイルサーバのアクセス履歴に関するログとして説明したが、アクセス制御ルール、種別などの記述を変えることにより、情報セキュリティマネジメントシステム(ISMS)準拠のログ、XML(eXtensible Markup Language)形式のログなど、様々な形式の監査ログを利用可能である。
1 監査ログ分析サーバ、2 監査ログ分析プログラム、3 人事異動履歴DB、4 監査ログ分析用アクセス制御ルールDB、5 監査ログDB、6 クライアント端末、7 認証サーバ、8 APPサーバ、9 監査ログ分析画面、10 監査ログ収集プログラム、11 統合監査ログDB、12 負荷分散装置、13 ファイルサーバ、14 入力部、15 出力部、901 CRT表示装置、902 K/B、903 マウス、904 FDD、905 CDD、906 プリンタ装置、910 システムユニット、911 CPU、912 バス、913 ROM、914 RAM、915 通信ボード、920 磁気ディスク装置、921 OS、922 ウィンドウシステム、923 プログラム群、924 ファイル群、940 インターネット、941 ゲートウェイ、942 LAN。
Claims (9)
- クライアント端末からのユーザによるコンピュータ資源へのアクセスの履歴を示す監査ログを保管する監査ログデータベースから監査ログを取得し、取得した監査ログを分析する監査ログ分析装置において、
ユーザが所属するグループと当該ユーザの当該グループへの所属期間とを示すユーザ所属情報を保管するユーザ所属情報データベースと、
特定の期間における特定のグループに所属するユーザによる特定のコンピュータ資源へのアクセスの認否を規定するアクセス認否情報を保管するアクセス認否情報データベースと、
前記監査ログデータベースから監査ログを取得し、取得した監査ログに示されたコンピュータ資源へのアクセスを行ったユーザが当該コンピュータ資源へのアクセスを行った時点で所属していたグループを前記ユーザ所属情報データベースに保管されたユーザ所属情報から特定し、特定したグループに所属するユーザに関して前記アクセス認否情報データベースに保管されたアクセス認否情報に基づいて当該コンピュータ資源へのアクセスの認否を判断する監査ログ分析部とを備えることを特徴とする監査ログ分析装置。 - 前記監査ログ分析装置は、さらに、
期間を入力する入力部を備え、
前記監査ログ分析部は、
前記監査ログデータベースから監査ログのうち前記入力部が入力した期間のアクセスの履歴を示す部分のみを取得することを特徴とする請求項1に記載の監査ログ分析装置。 - 前記監査ログ分析装置は、さらに、
複数の監査ログデータベースから監査ログを収集し、収集した監査ログを統合する監査ログ収集部と、
前記監査ログ収集部が統合した監査ログを統合ログとして保管する統合ログデータベースとを備え、
前記監査ログ分析部は、
前記監査ログデータベースから監査ログを取得する代わりに、前記統合ログデータベースから統合ログを取得し、取得した統合ログに示されたアクセスの認否を判断することを特徴とする請求項1又は2に記載の監査ログ分析装置。 - 前記監査ログ収集部は、
前記複数の監査ログデータベースから種別の異なるコンピュータ資源へのアクセスの履歴を示す監査ログを収集し、それぞれのアクセスの履歴に当該アクセスが行われたコンピュータ資源の種別を示す情報を付加して、収集した監査ログを統合し、
前記アクセス認否情報データベースは、
特定の期間における特定のグループに所属するユーザによる特定のコンピュータ資源の種別へのアクセスの認否を規定するアクセス認否情報を保管することを特徴とする請求項3に記載の監査ログ分析装置。 - 前記監査ログ分析部は、
認められないものと判断したアクセスを不正アクセスとして検出し、検出した不正アクセスの一覧を作成し、
前記監査ログ分析装置は、さらに、
前記監査ログ分析部が作成した不正アクセスの一覧を出力する出力部を備えることを特徴とする請求項1から4までのいずれかに記載の監査ログ分析装置。 - 前記ユーザ所属情報は、組織の構成員を前記ユーザとし、前記ユーザが所属するグループとして組織における部署と役職との少なくともいずれかを示す人事異動履歴情報であることを特徴とする請求項1から5までのいずれかに記載の監査ログ分析装置。
- 前記アクセス認否情報データベースは、
前記コンピュータ資源を特定するためにURL(Uniform Resource Locator)とファイルパスとの少なくともいずれかの一部を用いることを特徴とする請求項1から6までのいずれかに記載の監査ログ分析装置。 - ユーザ所属情報データベースとアクセス認否情報データベースとを有し、クライアント端末からのユーザによるコンピュータ資源へのアクセスの履歴を示す監査ログを保管する監査ログデータベースから監査ログを取得し、取得した監査ログを分析する装置を用いる監査ログ分析方法において、
前記ユーザ所属情報データベースに、ユーザが所属するグループと当該ユーザの当該グループへの所属期間とを示すユーザ所属情報を保管するユーザ所属情報保管ステップと、
前記アクセス認否情報データベースに、特定の期間における特定のグループに所属するユーザによる特定のコンピュータ資源へのアクセスの認否を規定するアクセス認否情報を保管するアクセス認否情報保管ステップと、
前記監査ログデータベースから監査ログを取得し、取得した監査ログに示されたコンピュータ資源へのアクセスを行ったユーザが当該コンピュータ資源へのアクセスを行った時点で所属していたグループを前記ユーザ所属情報保管ステップで前記ユーザ所属情報データベースに保管されたユーザ所属情報から特定し、特定したグループに所属するユーザに関して前記アクセス認否情報保管ステップで前記アクセス認否情報データベースに保管されたアクセス認否情報に基づいて当該コンピュータ資源へのアクセスの認否を判断する監査ログ分析ステップとを備えることを特徴とする監査ログ分析方法。 - クライアント端末からのユーザによるコンピュータ資源へのアクセスの履歴を示す監査ログを保管する監査ログデータベースから監査ログを取得し、取得した監査ログを分析する監査ログ分析プログラムにおいて、
ユーザ所属情報データベースに、ユーザが所属するグループと当該ユーザの当該グループへの所属期間とを示すユーザ所属情報を保管するユーザ所属情報保管処理と、
アクセス認否情報データベースに、特定の期間における特定のグループに所属するユーザによる特定のコンピュータ資源へのアクセスの認否を規定するアクセス認否情報を保管するアクセス認否情報保管処理と、
前記監査ログデータベースから監査ログを取得し、取得した監査ログに示されたコンピュータ資源へのアクセスを行ったユーザが当該コンピュータ資源へのアクセスを行った時点で所属していたグループを前記ユーザ所属情報保管処理が前記ユーザ所属情報データベースに保管するユーザ所属情報から特定し、特定したグループに所属するユーザに関して前記アクセス認否情報保管処理が前記アクセス認否情報データベースに保管するアクセス認否情報に基づいて当該コンピュータ資源へのアクセスの認否を判断する監査ログ分析処理とをコンピュータに実行させることを特徴とする監査ログ分析プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005048215A JP4575190B2 (ja) | 2005-02-24 | 2005-02-24 | 監査ログ分析装置及び監査ログ分析方法及び監査ログ分析プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005048215A JP4575190B2 (ja) | 2005-02-24 | 2005-02-24 | 監査ログ分析装置及び監査ログ分析方法及び監査ログ分析プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006235895A JP2006235895A (ja) | 2006-09-07 |
| JP4575190B2 true JP4575190B2 (ja) | 2010-11-04 |
Family
ID=37043487
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005048215A Expired - Fee Related JP4575190B2 (ja) | 2005-02-24 | 2005-02-24 | 監査ログ分析装置及び監査ログ分析方法及び監査ログ分析プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4575190B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20160131619A (ko) * | 2015-05-08 | 2016-11-16 | (주)케이사인 | 개인정보 부정사용 탐지 장치 |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5004572B2 (ja) * | 2006-12-22 | 2012-08-22 | 中国電力株式会社 | ログイン管理システムおよびログイン管理方法 |
| JP4113571B1 (ja) * | 2008-01-22 | 2008-07-09 | 株式会社Cskホールディングス | ログ監査装置及びログ監査プログラム |
| JP4998322B2 (ja) * | 2008-02-26 | 2012-08-15 | カシオ計算機株式会社 | 情報処理装置及びプログラム |
| JP4636144B2 (ja) | 2008-08-29 | 2011-02-23 | 富士ゼロックス株式会社 | 情報管理プログラム及び情報管理システム |
| JP5169756B2 (ja) * | 2008-11-13 | 2013-03-27 | 富士ゼロックス株式会社 | ジョブログ処理装置およびプログラム |
| JP5316015B2 (ja) * | 2009-01-20 | 2013-10-16 | 富士ゼロックス株式会社 | 情報処理装置及びプログラム |
| JP5446676B2 (ja) * | 2009-09-29 | 2014-03-19 | 株式会社リコー | 情報管理サーバ、情報管理システム、ならびに、プログラム |
| JP5789390B2 (ja) * | 2011-03-25 | 2015-10-07 | 株式会社野村総合研究所 | 業務情報防護装置および業務情報防護方法、並びにプログラム |
| CN103095693B (zh) * | 2013-01-08 | 2015-11-18 | 北京中创信测科技股份有限公司 | 定位访问数据库用户主机信息的方法及装置 |
| JP5928630B2 (ja) * | 2015-04-02 | 2016-06-01 | カシオ計算機株式会社 | 情報処理装置及びプログラム |
| JP5952466B2 (ja) * | 2015-06-17 | 2016-07-13 | 株式会社野村総合研究所 | 業務情報防護装置および業務情報防護方法、並びにプログラム |
| JP6950211B2 (ja) * | 2017-03-16 | 2021-10-13 | 日本電気株式会社 | フォルダ保護設定管理方法、フォルダ保護設定管理装置、およびフォルダ保護設定管理プログラム |
| JP7180073B2 (ja) * | 2018-01-04 | 2022-11-30 | 富士通株式会社 | 判定プログラム、判定方法、および判定装置 |
| CN111124845A (zh) * | 2018-10-30 | 2020-05-08 | 千寻位置网络有限公司 | 访问日志的生成、审计方法及装置、监控系统 |
| JP7446142B2 (ja) | 2020-03-31 | 2024-03-08 | 三菱電機株式会社 | サイバーセキュリティ監査システム |
| CN113536304B (zh) * | 2021-08-04 | 2023-10-13 | 久盈世纪(北京)科技有限公司 | 一种基于运维审计系统的防绕行方法及设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002318734A (ja) * | 2001-04-18 | 2002-10-31 | Teamgia:Kk | 通信ログ処理方法及びシステム |
| JP2003140987A (ja) * | 2001-11-06 | 2003-05-16 | Ntt Data Customer Service Corp | セキュリティ監査支援システムおよび方法、ならびにセキュリティ監査支援プログラム |
| JP2004227603A (ja) * | 2004-04-02 | 2004-08-12 | Casio Comput Co Ltd | データ処理装置、データ処理システム及び記録媒体 |
| JP2004357058A (ja) * | 2003-05-29 | 2004-12-16 | Wacom Co Ltd | 電子的文書認証処理システム |
-
2005
- 2005-02-24 JP JP2005048215A patent/JP4575190B2/ja not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002318734A (ja) * | 2001-04-18 | 2002-10-31 | Teamgia:Kk | 通信ログ処理方法及びシステム |
| JP2003140987A (ja) * | 2001-11-06 | 2003-05-16 | Ntt Data Customer Service Corp | セキュリティ監査支援システムおよび方法、ならびにセキュリティ監査支援プログラム |
| JP2004357058A (ja) * | 2003-05-29 | 2004-12-16 | Wacom Co Ltd | 電子的文書認証処理システム |
| JP2004227603A (ja) * | 2004-04-02 | 2004-08-12 | Casio Comput Co Ltd | データ処理装置、データ処理システム及び記録媒体 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20160131619A (ko) * | 2015-05-08 | 2016-11-16 | (주)케이사인 | 개인정보 부정사용 탐지 장치 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2006235895A (ja) | 2006-09-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4575190B2 (ja) | 監査ログ分析装置及び監査ログ分析方法及び監査ログ分析プログラム | |
| US8051204B2 (en) | Information asset management system, log analysis server, log analysis program, and portable medium | |
| US10725802B2 (en) | Methods and apparatus for using tags to control and manage assets | |
| CN111343173B (zh) | 数据访问的异常监测方法及装置 | |
| US10257228B2 (en) | System and method for real time detection and prevention of segregation of duties violations in business-critical applications | |
| US20080016563A1 (en) | Systems and methods for measuring cyber based risks in an enterprise organization | |
| US20060136461A1 (en) | Method and system for data quality management | |
| US11940970B2 (en) | Asset inventory reconciliation services for use in asset management architectures | |
| JP2005530239A (ja) | エンタプライズアセットを管理する方法及びシステム | |
| US9910858B2 (en) | System and method for providing contextual analytics data | |
| JP2007249912A (ja) | 共用資源管理システム、共用資源管理方法、およびコンピュータプログラム | |
| JP4952022B2 (ja) | 関連付けプログラム、関連付け方法、および関連付け装置 | |
| US20070136798A1 (en) | Special group logon tracking | |
| US20230267387A1 (en) | Computer-Guided Corporate Relationship Management | |
| JP4445941B2 (ja) | 顧客データベース管理装置及び顧客データベース管理プログラム | |
| CN114422564A (zh) | 访问数据审计溯源方法、装置、计算机设备及存储介质 | |
| JP5936798B2 (ja) | ログ分析装置、不正アクセス監査システム、ログ分析プログラム及びログ分析方法 | |
| US20030050789A1 (en) | Method and apparatus for monitoring execution of a business process managed using a state machine | |
| JP2008210043A (ja) | サーバ装置及び変換ルール作成プログラム | |
| JP2007179399A (ja) | 進捗管理装置システム、進捗管理装置および進捗管理プログラム | |
| KR101415528B1 (ko) | 분산된 시스템을 위한 데이터 오류 처리 장치 및 방법 | |
| JP2007004210A (ja) | ワークフロー処理方法、装置及びプログラム | |
| US20050086194A1 (en) | Information reference apparatus, information reference system, information reference method, information reference program and computer readable information recording medium | |
| CN115033639A (zh) | 一种生成集群间数据共享的关系图的方法和相关装置 | |
| KR20030094921A (ko) | 보안 정보 관리 및 취약성 분석 시스템과 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20071107 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100817 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100819 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4575190 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130827 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |